Регуляторные изменения в сфере ИБ: чего ждать бизнесу в 2026 году

Информационная безопасность — не статичная сфера: законы и требования к защите данных постоянно обновляются. В 2026 году бизнес сталкивается с рядом значимых изменений, которые ужесточают контроль и повышают ответственность за нарушения.

1. Новые требования к государственным информационным системам (ГИС)

Дата вступления в силу: 1 марта 2026 года (Приказ ФСТЭК России от 11.04.2025 № 117).

Что изменилось:

• Обязательное использование сертифицированных средств защиты информации (СрЗИ) не только в ГИС, но и в иных информационных системах госорганов, ГУПов и ГБУ.
• Введение количественной оценки защищённости (КЗИ) — новой методологии сертификации объектов КИИ, которая заменяет прежние подходы.
• Расширение круга подконтрольных организаций. Требования распространяются не на весь госсектор, а только на организации определённых организационно‑правовых форм.

Если ваша компания обслуживает ГИС (например, предоставляет облачные сервисы для госорганов), вы обязаны соблюдать эти нормы — даже если не являетесь госорганом.

2. Ужесточение ответственности за утечки персональных данных

Дата вступления в силу: январь 2026 года (изменения в Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных»).

Размеры штрафов существенно выросли:

• для госорганов — до 2 млн рублей;
• для коммерческих организаций — до десятков миллионов рублей (в зависимости от масштаба утечки и категории данных).

Например, в начале 2026 года крупная розничная сеть получила штраф в 15 млн рублей за утечку данных клиентов. Причина — недостаточная защита базы данных, которую взломали через уязвимость в устаревшем ПО.

3. Усиление требований к критической информационной инфраструктуре (КИИ)

Дата вступления в силу: сентябрь 2026 года (изменения в Федеральный закон от 26.07.2017 № 187‑ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»).

Ключевые нововведения:

• Регулярные аудиты безопасности. Компании обязаны проводить проверки не реже одного раза в полгода.
• Мониторинг угроз в реальном времени. Требуется внедрение систем, которые отслеживают подозрительную активность и автоматически реагируют на инциденты.
• Географически распределённое резервное копирование. Данные должны храниться в нескольких изолированных локациях для минимизации рисков потери.

В зоне риска оказываются компании из сфер энергетики, транспорта, финансов, здравоохранения и других стратегически важных отраслей.

4. Требования к локализации данных

Статус: действуют с 2015 года, но в 2026 году усилен контроль за исполнением (Федеральный закон от 21.07.2014 № 242‑ФЗ).

Что проверяют:

• наличие серверов с персональными данными россиян на территории РФ;
• организацию резервного копирования (включая географическое распределение);
• защиту каналов передачи данных между системами;
• безопасность синхронизации с зарубежными сервисами.

Пример нарушения: международная компания получила предписание за автоматическую синхронизацию данных с зарубежным облаком. Даже фоновая передача считается нарушением.

5. Новые уголовные санкции за кибератаки

Статус: законопроект № 960721‑8 (находится на рассмотрении в Госдуме, ожидается принятие в 2026 году).

Планируемые изменения:

• Статья 272.2 УК РФ — наказание до 4 лет лишения свободы и штраф до 500 тыс. руб. за атаки с использованием ИИ.
• Статья 163.1 УК РФ — до 4 лет тюрьмы и штраф до 500 тыс. руб. за кибервымогательство.
• Увеличение штрафов и сроков по ст. 272, 273, 274 УК РФ (неправомерный доступ, вредоносное ПО, нарушение эксплуатации ИС).

Хотите обрести уверенность в безопасности?

Проведём аудит ИБ и устраним уязвимости

Для заполнения данной формы включите JavaScript в браузере.

Макет имя Checkboxes

Ваше имя *

Ваш телефон *

Checkboxes *

• Даю согласие на обработку персональных данных

Отправить

Как бизнесу адаптироваться к изменениям?

1. Проведите аудит ИТ‑инфраструктуры. Проверьте, соответствуют ли ваши системы новым требованиям к КИИ, ГИС и защите данных. Особое внимание уделите:

• наличию сертификатов на СрЗИ;
• схемам резервного копирования;
• настройкам доступа к персональным данным.

2. Обновите документацию. Пересмотрите:

• политику обработки персональных данных;
• регламенты по ИБ;
• инструкции для сотрудников.

3. Обучите персонал. Организуйте регулярные тренинги по ИБ, чтобы снизить риски, связанные с человеческим фактором (фишинг, утечки паролей и т. п.).

4. Инвестируйте в сертифицированные решения. Используйте только ПО и оборудование с действующими сертификатами ФСТЭК/ФСБ.

5. Следите за новостями. Подпишитесь на рассылки:

• ФСТЭК (fstec.ru);
• Роскомнадзора (rkn.gov.ru);
• профильных ассоциаций по ИБ.

Консультируйтесь с экспертами. Если у вас нет штатного специалиста по ИБ, привлеките внешних консультантов для:

• проверки соответствия требованиям;
• разработки плана модернизации систем;
• подготовки к проверкам регуляторов.

Не ждите проверок — действуйте на опережение. Чем раньше вы внедрите необходимые меры, тем увереннее будете чувствовать себя в условиях ужесточающегося регулирования.